Manches reift, manches veraltet: Einsatz von Computersystemen

Meyers b9 s0153 b1.png

Von Autor unbekannt – Diese Datei ist ein Ausschnitt aus einer anderen Datei: Meyers b9 s0153.jpg , Gemeinfrei, Link

Janusköpfige Computersysteme?

Die elektronische Datenverarbeitung steht für Vereinfachung, Beschleunigung sowie neue Möglichkeiten und Horizonte in Auswertung von Messung und Prognose ebenso wie für Datenverlust, Verlust an Vertraulichkeit, finalisierte Existenzen.

Prüfeinrichtungen verwenden moderne Analyseverfahren, mit ebenso modernen Labormanagementsystemen. Die klassische, papierbasierte Prüfeinrichtung wurde abgelöst. Selbst einfache Fotometer, Waagen, Zugangssysteme, Spülmaschinen enthalten heute Mikrocontroller mit Programmen. Viele dieser Systeme kommunizieren miteinander, mit dem Labormanagementsystem und verfügen über eigene, aktualisierbare Software (BIOS) zur Auswertung und Steuerung. Damit gehören sie ebenso zur EDV von Prüfeinrichtungen, wie Autoklaven, Switche, Router, IP-Telefone und Notebooks mit Standardsoftware. Sie können ebenso kompromittiert werden, wie Notebooks mit Standardsoftware. Ob Cloud oder nicht spielt keine Rolle.

Wie erleichternd, dass es Handreichungen wie zum Beispiel das Dokument 71 SD 0 004 der DAkkS gibt. Auf den ersten Blick – und dann?

Hier schreibt nicht Fürst Meckerviel sondern eine durch aktuelle Tatsachen verunsicherte, lösungsorientierte, neugierige Seele.
Dies fiel bei der Lektüre der DAkkS-Handreichung unter anderem auf:

  • DAR-INF-07 Hinweise zum Einsatz von Computersystemen in akkreditierten Laboratorien Version 1.0 Bestätigt am 24.08.2000
  • Basierend unter anderem auf Version 2 vonGuidelines for the use of computers and computer systems in accredited laboratories“ von 1998
  • Hinweise auf die Aktualität ergeben sich auch aus der damals noch engeren Verbindung zur GLP zum Beispiel bei den Begriffen, die beim Begriff „Rohdaten“ explizit die Definition der GLP zitieren.
  • In Abschnitt 3. Zuständigkeiten Abs 2 wird explizit auf ein QMH (Qualitätsmanagementhandbuch) hingewiesen, obgleich dieses in der neuen DIN 17025 nur noch als Option geführt werden. In Abs. 1 wird auf Mess- und Prüfmittel Bezug genommen. Heute sind sie Teil von „Einrichtungen“.
  • Abschnitt 4. kennt schon die Risiko- und Häufigkeitsabschätzung.
  • Abschnitt 4.1 kennt die Abnahme und Freigabe neuer Computersysteme und verlangt eine dokumentierte Freigabe. Es weist am Ende von Seite 3 ausdrücklich auf mögliche Interaktionen nach Installation zusätzlicher Software auf mögliche Interaktionen hin.
  • Auf Seite 3 heißt es: „Computersysteme, die Teil eines Mess- oder Prüfmittels sind, können mit diesem zusammen validiert werden.“ Nicht geklärt ist, inwieweit zusätzliche Validierungen erforderlich werden, wenn die Einrichtung an wechselnden Computersystemen betrieben wird.
  • Abschnitt 4.2 weist insbesondere auf auswechselbare Hardware-Module wie A/D-Wandlerkarten hin. Dies könnten heute über USB oder andere Schnittstellen angeschlossene Hardware-Elemente sein. Hier steckt die besondere Problematik oft in der Treibersoftware. Zusätzlich kann Rechenarbeit auf die Hardware der Grafikkarte ausgelagert sein. In diesem Fall ist diese in die Betrachtungen einzubeziehen.
  • Abschnitt 4.4 Einweisung der Mitarbeiter sollte um einen Hinweis auf Rückwirkungen durch andere an das System angeschlossene Hardware sowie Sicherheits/Notfallpläne aus der EDV-Sicherheit ergänzt werden.
  • Abschnitt 4.5 berücksichtigt nicht unerwünschte Zugänge und deren Verhinderung. (z. B. BlueTooth). Verlust oder Ausmusterung von Hardware, kompromittierte Hardware die mit Systemen verbunden wird, gefährden die Vertraulichkeit. Verwendung starker Verschlüsselung im Gerät …
  • Abschnitt 4.7 Die vorgeschlagene Automatisierung von UpDates beim Virenschutz setzt meist eine Verbindung zum Internet voraus. Die sich hieraus ergebenden Risiken sind abzuwägen. Werden Systeme mit ebenfalls automatisiertem UpDate des BIOS verwendet oder anderer Software verwendet, kann dies die Validität und die Sicherheit des Systems gefährden, da zum Beispiel in der Regel die Software von Messsystemen nicht in der gleichen Häufigkeit aktualisiert wird und damit zum schwächsten Glied einer Kette werden kann.
  • Die Reaktion auf Schadsoftwarebefall kann auch situationsabhängig andere Verhaltensregeln vorsehen. Hinweis auf Schutz der Vertraulichkeit, Notfallrufnummern / Notfallpläne.
  • Abschnitt 4.8 Benutzer sollten mit möglichst angemessenen und geringen Benutzerrechten im System angemeldet sein.
  • Zur Rückverfolgbarkeit gehört die Verifikation der Wiederherstellbarkeit kompletter Datensätze.
  • Zur Rückverfolgbarkeit gehört ebenfalls deren Sicherstellung nach Wechsel von Systemteilen (Hard- und Software, Betriebssystem, Art des Speichermediums etc. ) (siehe letzter Abschnitt) auch wenn es sich um Aktualisierungen handelt.

Auch sehr nett, aber heute kaum mehr praktiziert, die im Anhang erwähnte Sicherung auf Diskette, WORM …

Zu ihrer Entstehungszeit war die Handreichung sicher aktuell. Sie besitzt auch heute gültige und wertvolle Anteile. Die Welt und ihre Wirklichkeit und Bedrohungen entwickeln sich jedoch weiter. Verschlüsselungstrojaner mit mehr oder weniger großer Latenzzeit mögen vormals eher unbekannt gewesen sein. Von einer Einrichtung, die ebenfalls für die Akkreditierung nach DIN 17025 im Bereich Imformationstechnik reüssieren will, muss man angepasste und aktuellere Handreichungen erwarten, denn es könnte bei einer Prüfeinrichtung andernfalls der Eindruck entstehen, dass eine zur Handreichung konforme Handlungsweise aktuellen Anforderungen entspricht.

Auch das BfR mit kann mit dem Konsensdokument  „Die Anwendung der GLP-Grundsätze auf computergestützte Systeme“ nicht punkten. Der Konsens datiert 28.Oktober 1996. Es gibt in der GLP jedoch wenigstens die auf 2016 datierende Handreichung der OECD „Anwendung von Grundsätzen der Guten Laborpraxis auf computergestützte Systeme“ als Übersetzung aus dem englischen Original. Immerhin kennt dieses Dokument schon ein „Störfallmanagement“ (Seite 30). Hier hätte man sich jedoch nähere Qualifikationen von Störfälle zu qualifizieren und unbedingte Handlungsanforderungen zu formulieren. Die Problematik elektronischer Unterschriften zum Beispiel wird im Gegensatz zu den vorgenannten Handreichungen erfasst.

Digitale Nachlässe regelt keines der Dokumente.

Schlussfolgerungen

  1. Prüfeinrichtungen (P) sind auf den Betrieb computergestützter Systeme angewiesen. P sollten zunächst sämtliche computergestützten Systeme erfassen und in ihr Risiko- und Chancenmanagement aufnehmen. Nichtbehandlung ist grob fahrlässig. Aus der Nichterfassung und Nichtaufsicht computergestützter Systeme entstehende Schäden sollten nicht versicherbar sein. Eine Akkreditierbarkeit stellt sich fraglich dar (mangelnde Kompetenz).
  2. P sollten umgehend die Aktualität und Suffizienz ihrer Regelungen die „Lenkung von Daten und Informationsmanagement“ betreffend hinterfragen und einer Risikoanalyse unterziehen, wenn die Regelungen auf veralteten oder obsoleten Handreichungen basieren könnten. Vertraulichkeit und Rückverfolgbarkeit könnten gefährdet sein.
  3. An die Kompetenz von externen wie internen Auditoren sind Mindestanforderungen zu stellen, die über das übliche Excel-Klein-Klein hinausgehen.

Die Sicherheit computergestützter Systeme kann durch Handhabung in Insellösungen verbessert werden. Bei Betrieb in einem Nichtinselnetz müssen alle im Netz betriebenen computergestützten Systeme als kompromittierbar gelten, sobald die Überwachung und Pflege auch nur eines im Netz betriebenen Systems nicht mehr gewährleistet ist (z. B. weil es keine Aktualisierungen des Bios mehr gibt, das End of Life (Abkündigung) des Systems / einer auf dem System betriebenen Software erreicht ist …).

Viele der hier formulierten Ansprüche können als übertrieben gelten, bis die Wirklichkeit das Gegenteil beweist. Ein realistisches Risikomanagement erlaubt das bewusste Eingehen von Risiken. „Bewusstes Eingehen“ bedeutet zugleich, eine Qualifizierung verfügbarer Handreichungen sowie die kompetente Wahl geeigneter, eigener Strategien.

 

Quellen:

DAkkS: 71 SD 0 004 Leitfaden zum Einsatz von Computersystemen in akkreditierten Laboratorien

BfR: GLP Konsensdokument:Die Anwendung der GLP-Grundsätze auf computergestützte Systeme

BfR: „Anwendung von Grundsätzen der Guten Laborpraxis auf computergestützte Systeme“ eine Übersetzung des OECD-Dokuments